{"id":3220,"date":"2023-07-03T11:31:22","date_gmt":"2023-07-03T09:31:22","guid":{"rendered":"https:\/\/www.felix-bauer-it.de\/blog\/?p=3220"},"modified":"2023-07-03T12:38:35","modified_gmt":"2023-07-03T10:38:35","slug":"blackcat-ransomware-hinter-fake-winscp","status":"publish","type":"post","link":"https:\/\/www.felix-bauer-it.de\/blog\/blackcat-ransomware-hinter-fake-winscp\/","title":{"rendered":"BlackCat Ransomware hinter Fake WinSCP"},"content":{"rendered":"<p>Kriminelle Aktivit\u00e4ten im Internet nehmen weiter zu. Cyberkriminelle nutzen zunehmend Anzeigen in Suchergebnissen, um sch\u00e4dliche Tools zu verbreiten, darunter die Ransomware BlackCat (auch bekannt als ALPHV), die Windows-Systeme angreift.<\/p>\n\n\n<div class=\"wp-block-image\">\n<figure class=\"alignright size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"300\" height=\"100\" src=\"https:\/\/www.felix-bauer-it.de\/blog\/wp-content\/uploads\/2020\/02\/trend-micro-logo.png\" alt=\"Trend Micro Logo\" class=\"wp-image-518\"\/><\/figure><\/div>\n\n\n<p><a href=\"https:\/\/www.trendmicro.com\/en_us\/research\/23\/f\/malvertising-used-as-entry-vector-for-blackcat-actors-also-lever.html\" data-type=\"URL\" data-id=\"https:\/\/www.trendmicro.com\/en_us\/research\/23\/f\/malvertising-used-as-entry-vector-for-blackcat-actors-also-lever.html\" target=\"_blank\" rel=\"noreferrer noopener\">Die IT-Sicherheitsexperten von Trend Micro<\/a> haben in den Suchmaschinen Bing und Google so genannte Malvertising-Anzeigen f\u00fcr den Open-Source-FTP-Client WinSCP entdeckt. Statt auf die legitime Seite winscp.net f\u00fchren die betr\u00fcgerischen Anzeigen auf die gef\u00e4lschte Seite winsccp.com. Ein Klick auf den dortigen Download-Link f\u00fchrt zum Herunterladen einer ISO-Datei mit einer Setup- und einer DLL-Datei auf den Rechner des Nutzers. W\u00e4hrend durch Ausf\u00fchren der Setup-Datei das gew\u00fcnschte WinSCP installiert wird, wird gleichzeitig Schadcode auf dem Rechner abgelegt.<\/p>\n\n\n\n<p>Dadurch erhalten die T\u00e4ter Zugriff auf den Computer und k\u00f6nnen mit ihren Command-and-Control-Servern kommunizieren und weitere Schadsoftware installieren. Mit Hilfe des Tools AdFind werden Informationen aus Active Directory Umgebungen extrahiert. Mit diesen erbeuteten Informationen k\u00f6nnen die Angreifer weitreichenden Zugriff auf das Active Directory erlangen. Mit Hilfe von AnyDesk richten die Kriminellen dann einen Fernzugriff ein. Im weiteren Verlauf laden die Angreifer ihre Ransomware BlackCat auf den kompromittierten PC.<\/p>\n\n\n\n<!--more-->\n\n\n\n<p>Die folgende Grafik zeigt, wie die Infektion verl\u00e4uft:<\/p>\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"700\" height=\"889\" src=\"https:\/\/www.felix-bauer-it.de\/blog\/wp-content\/uploads\/2023\/07\/mal1-700x889.jpg\" alt=\"Malvertising BlackCat\" class=\"wp-image-3233\" srcset=\"https:\/\/www.felix-bauer-it.de\/blog\/wp-content\/uploads\/2023\/07\/mal1-700x889.jpg 700w, https:\/\/www.felix-bauer-it.de\/blog\/wp-content\/uploads\/2023\/07\/mal1-236x300.jpg 236w, https:\/\/www.felix-bauer-it.de\/blog\/wp-content\/uploads\/2023\/07\/mal1-768x975.jpg 768w, https:\/\/www.felix-bauer-it.de\/blog\/wp-content\/uploads\/2023\/07\/mal1-1209x1536.jpg 1209w, https:\/\/www.felix-bauer-it.de\/blog\/wp-content\/uploads\/2023\/07\/mal1-800x1016.jpg 800w, https:\/\/www.felix-bauer-it.de\/blog\/wp-content\/uploads\/2023\/07\/mal1.jpg 1377w\" sizes=\"(max-width: 700px) 100vw, 700px\" \/><figcaption class=\"wp-element-caption\">Quelle: TrendMicro<\/figcaption><\/figure><\/div>\n\n\n<h2 class=\"wp-block-heading\">Schutz vor Malvertising<\/h2>\n\n\n\n<p>Malvertising, eine Kombination aus den W\u00f6rtern \"Malware\" und \"Advertising\", bezeichnet die Nutzung von Online-Werbung zur Verbreitung von Malware. Die Methoden, sich gegen Malvertising-Attacken zu sch\u00fctzen, sind vielf\u00e4ltig:<\/p>\n\n\n\n<ul>\n<li>Aktualisierung aller Software: Eine h\u00e4ufige Methode von Malvertisern ist das Ausnutzen bekannter Sicherheitsl\u00fccken in \u00e4lteren Softwareversionen. Achten Sie daher darauf, dass Ihr Betriebssystem, Ihr Browser und alle Plug-ins immer auf dem neuesten Stand sind.<\/li>\n\n\n\n<li>Verwenden Sie <a href=\"https:\/\/www.felix-bauer-it.de\/blog\/stiftung-warentest-testet-antivirenprogramme\/\" data-type=\"post\" data-id=\"1385\">Antiviren-Software<\/a>: Eine gute Antiviren-Software kann viele Arten von Malware erkennen und blockieren, darunter auch solche, die durch Malvertising verbreitet werden.<\/li>\n\n\n\n<li>Verwendung von Werbeblockern: Werbeblocker k\u00f6nnen viele Arten von Online-Werbung blockieren, darunter auch potenziell sch\u00e4dliche Werbung.<\/li>\n\n\n\n<li>Deaktivieren Sie JavaScript: Viele Malvertising-Angriffe verwenden JavaScript, um ihren Code auszuf\u00fchren. Die Deaktivierung von JavaScript in Ihrem Browser kann daher ein wirksamer Schutz sein, auch wenn dadurch die Funktionalit\u00e4t einiger Websites beeintr\u00e4chtigt werden kann.<\/li>\n\n\n\n<li>Klicken Sie nicht leichtfertig auf Werbung: Auch wenn Sie die oben genannten Schutzma\u00dfnahmen ergriffen haben, sollten Sie darauf achten, welche Werbung Sie anklicken. Wenn Ihnen eine Werbung verd\u00e4chtig vorkommt, sollten Sie sie am besten meiden.<\/li>\n\n\n\n<li>Sicherheitsbewusstsein: Seien Sie sich der Risiken bewusst und treffen Sie entsprechende Vorsichtsma\u00dfnahmen. Seien Sie vorsichtig, wenn Sie neue oder unbekannte Websites besuchen und wenn Sie auf Links oder Anzeigen klicken, die verd\u00e4chtig erscheinen.<\/li>\n\n\n\n<li>Benutzen Sie vertrauensw\u00fcrdige Netzwerke und Websites: Vermeiden Sie das Surfen auf Websites, die nicht vertrauensw\u00fcrdig erscheinen oder f\u00fcr die Verbreitung von Malware bekannt sind.<\/li>\n\n\n\n<li>F\u00fchren Sie regelm\u00e4\u00dfig System- und Dateisicherungen durch: Im Falle eines erfolgreichen Angriffs kann ein aktuelles Backup helfen, den Schaden zu minimieren.<\/li>\n<\/ul>","protected":false},"excerpt":{"rendered":"<p>Kriminelle Aktivit\u00e4ten im Internet nehmen weiter zu. Cyberkriminelle nutzen zunehmend Anzeigen in Suchergebnissen, um sch\u00e4dliche Tools zu verbreiten, darunter die Ransomware BlackCat (auch bekannt als ALPHV), die Windows-Systeme angreift. Die IT-Sicherheitsexperten von Trend Micro haben in den Suchmaschinen Bing und Google so genannte Malvertising-Anzeigen f\u00fcr den Open-Source-FTP-Client WinSCP entdeckt. Statt auf die legitime Seite winscp.net...<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6,1,4],"tags":[],"_links":{"self":[{"href":"https:\/\/www.felix-bauer-it.de\/blog\/wp-json\/wp\/v2\/posts\/3220"}],"collection":[{"href":"https:\/\/www.felix-bauer-it.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.felix-bauer-it.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.felix-bauer-it.de\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.felix-bauer-it.de\/blog\/wp-json\/wp\/v2\/comments?post=3220"}],"version-history":[{"count":14,"href":"https:\/\/www.felix-bauer-it.de\/blog\/wp-json\/wp\/v2\/posts\/3220\/revisions"}],"predecessor-version":[{"id":3238,"href":"https:\/\/www.felix-bauer-it.de\/blog\/wp-json\/wp\/v2\/posts\/3220\/revisions\/3238"}],"wp:attachment":[{"href":"https:\/\/www.felix-bauer-it.de\/blog\/wp-json\/wp\/v2\/media?parent=3220"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.felix-bauer-it.de\/blog\/wp-json\/wp\/v2\/categories?post=3220"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.felix-bauer-it.de\/blog\/wp-json\/wp\/v2\/tags?post=3220"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}